一、漏洞详情
VMware vCenterServer提供了一个可伸缩、可扩展的平台,为虚拟化管理奠定了基础。VMware vCenter Server(以前称为VMware VirtualCenter),可集中管理VMware vSphere环境。
VMware发布vCenter Server安全更新,修复了vSphere Web Client中的一个任意文件读取漏洞 (CVE-2021-21980)。
该漏洞存在于vSphere Web Client(FLEX/Flash)中,能够访问vCenter Server上的443端口的攻击者可以利用此漏洞在未授权的情况下读取任意文件并获取敏感信息。
此外,VMware还修复了vSphere Web Client中的一个SSRF漏洞(CVE-2021-22049),能够访问vCenter Server上的443端口的攻击者可以通过利用此漏洞访问vCenter Server外部的URL请求或访问内部服务。
二、影响范围
vCenter Server 6.7
vCenter Server 6.5
Cloud Foundation (vCenter Server) 3.x
三、修复建议
目前这些漏洞已经修复,建议及时升级更新到以下版本:
vCenter Server 6.7 U3p
下载链接:https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VC67U3P&productId=742&rPId=78421
vCenter Server 6.5 U3r
下载链接:https://customerconnect.vmware.com/downloads/details?downloadGroup=VC65U3R&productId=614&rPId=74057
注意:vCenter Server vSphere Web Client (FLEX/Flash)在vCenter Server 7.x中不可用,因此vCenter Server 7.x中不存在这些漏洞。此外,VMware暂未发布Cloud Foundation (vCenter Server) 3.x的补丁。